就在2 月 26 日,Bybit 和 Safe 先后发布安全公告,揭开了一起震撼整个加密货币行业的黑客攻击事件。Bybit 价值近 15 亿美元的加密资产被盗,而幕后黑手正是臭名昭著的Lazarus Group(朝鲜黑客组织)。这次攻击手法极其高明,黑客通过供应链攻击,精准控制 Safe{Wallet} 的前端代码,潜伏数天后伺机而动,成功诱导 Bybit 在毫不知情的情况下签署恶意交易,最终实现资金转移。
这起事件不仅是对加密行业的一次沉重打击,也再次暴露了多签钱包、供应链安全、前端代码完整性等方面的巨大漏洞。接下来,我们将详细拆解这场攻击的每一个环节,并探讨其带来的深远影响。
黑客是如何做到的?完整复盘 Bybit 遭遇的精准攻击
Bybit 和 Safe 在安全公告中披露了攻击的详细过程,从时间线来看,这是一场有组织、有预谋的攻击,黑客早在数天前就埋下了伏笔。
攻击时间线
- 2 月 19 日:黑客成功入侵 Safe{Wallet} 的 AWS S3 存储桶,并植入恶意代码,等待触发时机。
- 2 月 21 日:Bybit 执行多签交易,触发了恶意代码,使得交易内容被篡改,最终导致巨额资产被盗。
- 2 月 21 日(交易执行 2 分钟后):黑客迅速删除 AWS S3 存储桶中的恶意代码,以掩盖攻击痕迹。
- 2 月 26 日:Bybit 和 Safe 发布安全调查报告,揭示攻击细节。
黑客采用的攻击手法
这次攻击的核心策略,是利用前端代码的篡改,精准欺骗 Bybit 运营团队,让他们在毫不知情的情况下签署了恶意交易。整个过程如下:
黑客掌控 Safe{Wallet} 的前端代码
- 他们先入侵 Safe{Wallet} 的开发者机器,获取 Safe{Wallet} 的代码修改权限。
- 在 Safe{Wallet} 的 AWS S3 存储桶中,秘密植入篡改过的 JavaScript 文件,潜伏等待。
前端代码暗藏玄机
- 篡改的 JavaScript 文件只在特定情况下生效,专门针对 Bybit 的多签钱包和一个测试地址。
- 当 Bybit 运营人员通过 Safe{Wallet} 界面签署交易时,前端显示的交易地址是正常的,但实际上后台交易数据已经被篡改。
Bybit 在不知情的情况下签署了恶意交易
- 运营人员在 Safe{Wallet} 里看到的地址没问题,所以安心签署交易。
- 但由于前端代码已被篡改,真实的交易内容已经变成了黑客设定的盗币交易。
黑客迅速销毁痕迹
- 交易执行完毕后,仅2 分钟,黑客就移除了 AWS S3 存储桶中的恶意代码,避免被追踪。
- 这让 Bybit 和 Safe 在最初调查时,甚至都没发现任何异常。
Safe:我们的代码没问题,但黑客利用了供应链攻击
Safe 在调查公告中强调,他们的智能合约、前端代码并没有任何漏洞,黑客的成功完全归因于供应链攻击。换句话说,这次攻击的核心并不在于 Bybit 或 Safe 的技术有问题,而是黑客找到了最薄弱的环节:开发环境和前端代码的完整性。
— Safe.eth (@safe) February 26, 2025
事件发生后,Safe 采取了以下补救措施:
- 重建和重新配置所有基础设施,防止黑客再次利用相同手段入侵。
- 轮换所有凭证,确保攻击者的权限彻底失效。
- 加强安全提醒,警告所有用户在签署交易前务必多重检查交易信息。
然而,这场攻击给 Safe{Wallet} 也带来了信誉危机。毕竟,用户选择多签钱包的目的,就是为了更安全的资产管理,而黑客却能通过前端代码篡改,让交易签署者在毫不知情的情况下“自愿”交出资产。这无疑让整个行业警觉:多签钱包真的安全吗?
FBI 确认 Lazarus Group 为幕后黑手
美国联邦调查局(FBI)迅速介入调查,并最终确认,这次攻击的幕后黑手正是朝鲜黑客组织Lazarus Group(又称 TraderTraitor)。该组织此前已多次针对加密货币交易所、DeFi 项目发起攻击,并成功窃取数十亿美元的加密资产,成为全球最危险的网络犯罪团伙之一。
Lazarus Group 这次采用的策略,与他们以往的攻击方式相比,更加精密和隐蔽。
- 以往,他们主要利用钓鱼邮件、恶意软件等方式窃取私钥或账号信息。
- 但这次,他们不直接攻击 Bybit,而是通过供应链攻击 Safe{Wallet},进而影响 Bybit,使得 Bybit 在不知情的情况下,自己完成了资金转移。
这次攻击给行业带来的启示
这次 15 亿美元的盗窃案,不仅是对 Bybit 的沉重打击,也给整个加密行业敲响了警钟。它暴露了多个核心安全隐患:
1. 供应链攻击风险剧增
黑客不再直接攻击交易所,而是利用供应链的薄弱环节,影响用户的最终决策。开发环境的安全性,已成为新战场。
2. 多签钱包并非万无一失
传统观念认为“多签钱包比单签钱包更安全”,但这次事件证明,如果签署过程中存在安全隐患,多签也可能被黑客利用。
3. 前端代码完整性需要更严格的审查
前端代码一旦遭到篡改,用户根本无从察觉。这次攻击的关键点就在于:
- 黑客篡改了 Safe{Wallet} 的前端代码,而 Safe{Wallet} 并没有及时发现。
- 未来,加密钱包项目需要强化代码完整性检查,并引入更严格的前端监测机制。
4. 交易签署流程需要额外的安全验证
加密交易所和钱包提供商可以考虑:
- 使用独立的硬件钱包进行签署,避免依赖 Web 端签名。
- 引入链上交易可视化工具,让用户在签署前看到真实交易内容。
结语
这起事件不仅是加密行业史上最大规模的黑客攻击之一,更暴露了供应链攻击的可怕性。黑客的目标不再仅仅是攻破系统,而是利用“信任漏洞”,让受害者自己执行恶意操作。
在未来,加密行业必须加强供应链安全,建立更完善的交易签署验证机制,才能真正抵御此类高级攻击。毕竟,在这个数字世界里,安全,永远是最重要的底线。
